Puntos de control
Create two custom VPCs with subnetworks and firewall rules.
/ 10
Create two VPN gateways and necessary forwarding rules.
/ 10
Create two VPN tunnels.
/ 10
Create two VMs and install iperf via ssh.
/ 10
Cómo compilar una VPN de alta capacidad de procesamiento
GSP062
Descripción general
En este lab práctico, aprenderás a crear una VPN segura y de alta capacidad de procesamiento, y a probar la velocidad.
La comunicación segura entre Google Cloud y otras nubes o sistemas locales es una necesidad común y primordial. Por suerte, Google Cloud facilita la creación de redes privadas virtuales (VPN) seguras de seguridad del Protocolo de Internet (IPsec) para lograr este objetivo. Si un solo túnel no proporciona la capacidad de procesamiento necesaria, Google Cloud puede distribuir sin problemas el tráfico entre varios túneles para ofrecer ancho de banda adicional.
Objetivos
Crear una VPN
- Crear una nube privada virtual (VPC) llamada
cloud
con el objetivo de simular tu red de Google Cloud, además de una VPC llamadaon-prem
(del inglés “on-premises”, “local”) para simular una red externa - Crear puertas de enlace de VPN, reglas de reenvío y direcciones para la VPC
cloud
- Formar un túnel para la VPN nueva y enrutar el tráfico a través de esta
- Repetir el proceso de creación de VPN para la VPC
on-prem
y crear una segunda VPN
Probar las VPN
- Crear una máquina virtual (VM) con Compute Engine para probar las cargas de capacidad de procesamiento
- Probar la velocidad de la capacidad de procesamiento de una sola VPN con
iperf
Requisitos previos
- Consulta cómo crear una VPN y familiarízate con el proceso a través de Google Cloud.
- Consulta la Guía de descripción general de redes de VPC.
Tarea 1. Crea la VPC “cloud”
En esta sección, deberás hacer lo siguiente:
- Crear una VPC para simular tu red de producción en la nube
- Permitir que los tipos comunes de tráfico circulen por la VPC
- Crear una subred para implementar hosts
- Después de iniciar Cloud Shell, ejecuta lo siguiente para crear una VPC personalizada que se llame
cloud
y esté asociada a tu proyecto de Google Cloud:
Esta VPC permite usar el direccionamiento IP no predeterminado, pero no incluye ninguna regla de firewall predeterminada.
- Ejecuta lo siguiente con el objetivo de habilitar
ICMP
ySSH
, ya que necesitarás una shell segura para comunicarte con las VMs durante la prueba de carga:
- Crea una subred dentro de esta VPC y especifica una región y un rango de IP con el siguiente comando:
En esta solución, usarás 10.0.1.0/24
y la región
Tarea 2. Crea la VPC “on-prem”
En esta sección, crearás una simulación de tu VPC on-prem
o de cualquier red que quieras conectar a cloud
. En la práctica, ya tendrás recursos aquí, pero sigue estos pasos para crear túneles y validar configuraciones.
- En Cloud Shell, ejecuta lo siguiente para crear una nueva VPC de subred personalizada que se llame
on-prem
y esté asociada a tu proyecto:
- Ejecuta lo siguiente con el objetivo de habilitar
ICMP
ySSH
para los hosts de la VPCon-prem
, ya que necesitarás una shell segura para comunicarte con las VMs durante la prueba de carga:
- Especifica el prefijo de subred para la región a través del comando siguiente:
Tarea 3. Crea puertas de enlace de VPN
Cada entorno requiere puertas de enlace de VPN para una comunicación externa segura. Sigue estos pasos para crear las puertas de enlace iniciales destinadas a las VPC llamadas cloud y on-prem
:
- En Cloud Shell, crea una puerta de enlace de VPN llamada
on-prem-gw1
en la VPCon-prem
y en la región:
- Ahora, crea una puerta de enlace de VPN llamada
cloud-gw1
en la VPCcloud
y en la región:
Tarea 4. Crea un túnel VPN basado en rutas entre redes locales y de Google Cloud
Cada puerta de enlace de VPN necesita una dirección IP externa y estática para que los sistemas fuera de la VPC puedan comunicarse con ellas. Ahora, crearás direcciones IP y rutas en las VPC llamadas cloud y on-prem
.
- En Cloud Shell, asigna la IP para la puerta de enlace de VPN
cloud-gw1
:
- Luego, asigna la IP para la puerta de enlace de VPN
on-prem-gw1
:
- Almacena las direcciones de las puertas de enlace para no tener que buscarlas en los comandos siguientes.
Primero, ejecuta lo siguiente para la puerta de enlace cloud-gw1
:
Luego, ejecuta lo siguiente para la puerta de enlace on-prem-gw1
:
- Ahora, crearás reglas de reenvío para IPsec en la VPC llamada
cloud
. Deberás crear reglas de reenvío en ambas direcciones.
Reenvía el protocolo de carga útil de seguridad de encapsulación (ESP) desde cloud-gw1
:
Reenvía el tráfico UDP:500
desde cloud-gw1:
Reenvía el tráfico UDP:4500
desde cloud-gw1:
- Usa el mismo método con el objetivo de crear reglas de reenvío de firewall para el túnel de IPsec en la VPC llamada
on-prem
. Esta acción permitirá que el túnel de IPsec salga de tus firewalls:
Reenvía el protocolo de ESP desde on-prem-gw1
:
Reenvía el tráfico UDP:500
que se usa para establecer el túnel de IPsec desde on-prem-gw1:
Reenvía el tráfico UDP:4500
, que lleva el tráfico encriptado desde on-prem-gw1
:
En general, necesitarías generar un secreto para el paso siguiente, en el que crearás y validarás los túneles on-prem-tunnel1
y cloud-tunnel1
. Para obtener información sobre cómo crear y almacenar secretos de forma segura, consulta la Guía de descripción general de conceptos de Secret Manager. Por ahora, solo usa la cadena “sharedsecret”.
Crea un túnel para la red local, on-prem-tunnel1
, y otro para la red basada en la nube, cloud-tunnel1
. Cada red debe tener una puerta de enlace de VPN, y los secretos deben coincidir. En una situación de producción, en los próximos dos comandos reemplazarías [MY_SECRET]
por el secreto que generó. En este caso, reemplázalo por "sharedsecret".
- Crea el túnel VPN desde
on-prem
hastacloud
:
- Crea el túnel VPN desde cloud hasta on-prem:
Ahora que creaste las puertas de enlace y compilaste los túneles, debes agregar rutas desde las subredes a través de los dos túneles.
- Enruta el tráfico desde la VPC
on-prem
hasta el rangocloud 10.0.1.0/24
a través del túnel:
- Enruta el tráfico desde la VPC
cloud
hasta el rangoon-prem 192.168.1.0/24
a través del túnel:
Tarea 5. Prueba la capacidad de procesamiento en la VPN
En este punto, estableciste una ruta segura entre las VPC on-prem y cloud. Para probar la capacidad de procesamiento, utiliza iperf, una herramienta de código abierto que permite probar las cargas de red. Para hacer la prueba, necesitarás una VM en cada entorno: una que envíe tráfico y otra que lo reciba. Crearás estas VMs a continuación.
Prueba de carga de una sola VPN
A continuación, crearás una máquina virtual para la VPC cloud con el nombre cloud-loadtest
. En este ejemplo, se usa una imagen de Debian Linux para el SO.
- Ejecuta este comando:
- Crea una máquina virtual para la VPC
on-prem
llamadaon-prem-loadtest
. En este ejemplo, se usa la misma imagen de Debian que en la VPC cloud. Omite este paso si ya tienes recursos.
Ejecuta este comando:
- Establece una conexión SSH a cada VM, ya sea a través de la consola o la línea de comandos y, además, instala una copia de iperf con la línea de comandos siguiente:
- En la VM
on-prem-loadtest
, ejecuta este comando:
Creaste un servidor de iperf en la VM que informa su estado cada 5 segundos.
- En la VM
cloud-loadtest
, ejecuta este comando:
De esta manera, se creará un cliente de iperf con veinte transmisiones que informarán valores luego de 10 segundos de prueba:
Solución de problemas que pueden surgir
- Si olvidaste reemplazar [MY_SECRET] por “sharedsecret” cuando creaste los túneles para la red local,
puedes ejecutar el comando siguiente para borrar los túneles VPN creados:
- Reemplaza [tunnel-name] por el nombre del túnel.
- Reemplaza [region] por la región que especificaste cuando creaste el túnel.
- Si tienes problemas con la sección Prueba de carga de una sola VPN:
-
Asegúrate de haber instalado iperf en ambas VM.
-
Si recibes un error de conexión rechazada, verifica lo siguiente:
- Las reglas de firewall para las redes creadas (tcp:5001)
- Que el servidor se esté ejecutando correctamente en
on-prem-loadtest
- Que estás intentando conectarte al servidor a través de
cloud-loadtest
- Si estás intentando ver las reglas de reenvío que creaste en la consola, verifica lo siguiente:
- En el menú de navegación, ve a la sección Herramientas de redes.
- Haz clic en Conectividad de red > VPN.
- Haz clic en la puerta de enlace de Cloud VPN para ver su página de detalles.
¡Felicitaciones!
Finaliza la Quest
Estos labs de autoaprendizaje forman parte de las Quests Network Performance and Optimization y Security & Identity Fundamentals. Una Quest es una serie de labs relacionados que forman una ruta de aprendizaje. Si completas una Quest, obtendrás una insignia como reconocimiento por tu logro. Puedes hacer públicas tus insignias y agregar vínculos a ellas en tu currículum en línea o en tus cuentas de redes sociales. Inscríbete en cualquier Quest que contenga este lab y obtén un crédito inmediato de finalización. Consulta el catálogo de Google Cloud Skills Boost para ver todas las Quests disponibles.
Completa el próximo lab
Continúa la Quest con Cloud CDN o consulta estas sugerencias:
Próximos pasos
- Revisa Google Cloud Router para habilitar el protocolo de puerta de enlace de frontera (BGP) y aumentar la tolerancia a errores.
- Revisa Google Cloud Interconnect para ver otras opciones de interconexión.
- Supervisa las puertas de enlace de VPN con Google Stackdriver.
- Prueba otras funciones de Google Cloud por tu cuenta. Revisa nuestros instructivos.
Capacitación y certificación de Google Cloud
Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.
Última actualización del manual: 10 de enero de 2024
Prueba más reciente del lab: 10 de enero de 2024
Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.